Lo que necesitas saber
- Con la ayuda de Arkose Labs y una orden judicial, Microsoft se apoderó de los dominios y la infraestructura con sede en EE. UU. del mayor vendedor y creador de cuentas fraudulentas de Microsoft.
- Se estima que Storm-1152 vendió 750 millones de cuentas de Microsoft a ciberdelincuentes y grupos de ransomware.
- Este es un gran paso en la dirección correcta para que empresas como Microsoft comiencen a protegerse de estos grupos maliciosos que se aprovechan tanto de Microsoft como de sus clientes.
A informe de microsoft explica que Storm-1152 es un grupo de cibercrimen como servicio que crea cuentas falsas de Outlook y las mantiene «vivas» y activas para que no parezcan cuentas fraudulentas para Microsoft. Luego, cuando un grupo de ransomware necesita algunas cuentas para realizar ataques de phishing u otros ataques cibernéticos, puede comprar estas cuentas y los sistemas de detección de Microsoft no las detectan tan fácilmente, ya que parecen ser cuentas de usuarios normales.
Microsoft Threat Intelligence ha identificado varios grupos involucrados en ransomware, robo de datos y extorsión que han utilizado cuentas Storm-1152. Por ejemplo, Octo Tempest, también conocida como Scattered Spider, obtuvo cuentas fraudulentas de Microsoft de Storm-1152.
microsoft
¿Qué se puede hacer para luchar contra el cibercrimen?
Se prevé que el ciberdelito le costará al mundo 8 billones de dólares en 2023. según Cybersecurity Ventures. Una de las principales razones por las que el cibercrimen es tan lucrativo es que una empresa tiene muy pocos recursos para defenderse de estos ataques. Pregúntale a cualquier profesional de la ciberseguridad y te dirá que es imposible estar 100% protegido ante un ataque. Lo mejor que puede esperar es redundancia y un tiempo de recuperación rápido con copias de seguridad y otros planes en caso de un ataque.
Para un atacante, existe un elemento disuasorio mínimo para perpetrar estos ataques. La ley prohíbe a las empresas «hackear». Aunque el Congreso impulsó en 2019 para permitir que las empresas hicieran precisamente eso, todavía no ha habido ningún avance con ese proyecto de ley. HR3270 – Ley de Certeza de Defensa Cibernética Activa «limitaría el enjuiciamiento de delitos de fraude y abuso informático cuando la conducta que constituye un delito implique una respuesta o defensa contra una intrusión cibernética».
En mi opinión, las empresas necesitan la capacidad de piratear, lo que significa que pueden atacar a estos delincuentes y causar daños a sus sistemas o colocar programas en las computadoras de los atacantes para recopilar información y entregársela a las autoridades. En este momento, la ley establece que una empresa puede construir un muro para cerrar puertas y ventanas, pero si un atacante entra en su casa, debe pedirle discretamente que se vaya.
Sin embargo, Microsoft parece estar cansado de este enfoque. Llaman a las acciones de esta semana para derribar Storm-1152 una «estrategia de disrupción». Con suerte, eso significa que se tomarán acciones similares contra otros grupos de ciberdelincuentes en el futuro.
El jueves 7 de diciembre, Microsoft obtuvo una orden judicial del Distrito Sur de Nueva York para confiscar la infraestructura con sede en EE. UU. y desconectar los sitios web utilizados por Storm-1152 para dañar a los clientes de Microsoft. Si bien nuestro caso se centra en cuentas fraudulentas de Microsoft, los sitios web afectados también vendieron servicios para eludir las medidas de seguridad en otras plataformas tecnológicas conocidas. Por lo tanto, la acción de hoy tiene un impacto más amplio y beneficia a los usuarios más allá de Microsoft.
microsoft
¿Importará que Microsoft derribe Storm-1152?
Como la mayoría de las cosas, el mundo cibercriminal es un vacío y probablemente habrá un nuevo grupo de personas, o las mismas personas detrás de Storm-1152 formarán una nueva empresa con nuevos dominios e infraestructura y continuarán prestando sus servicios ilícitos. Sin embargo, la única manera de disuadir a estos individuos de dañar nuestras empresas y economías es seguir persiguiéndolos y hacer que los costos de cometer delitos sean mayores que las recompensas que han estado obteniendo.
Creo que existe una sensación de complacencia respecto del cibercrimen por parte de los gobiernos de todo el mundo. Parece aceptado como una cuestión de vida y es imposible de resolver, pero no puede ser así. De hecho, existen actores-Estado-nación patrocinados por gobiernos que cuentan con el respaldo y la financiación de gobiernos como Rusia, Irán, Corea del Norte y China. Sería difícil o casi imposible desmantelar a esos grupos sin causar un incidente internacional. Pero muchos de estos grupos de ransomware son simplemente delincuentes que buscan ganar dinero robando a otros. Esos grupos deben ser rastreados y detenidos, ya que son los únicos responsables de miles de millones de dólares en daños económicos globales.
¿Estás buscando ingresar a la ciberseguridad? Echa un vistazo a nuestro Guía de cómo iniciarse en la ciberseguridad.
¿Qué opinas de las acciones de Microsoft para protegerse de los ciberdelincuentes? ¿Cree que más empresas deberían resolver proactivamente estos problemas de ciberdelincuencia por sí mismas? Háganos saber en los comentarios.